Ця стаття є дзеркальною статтею машинного перекладу, будь ласка, натисніть тут, щоб перейти до оригінальної статті.

Architect_Programmer_Code Сільськогосподарська мережа»Архітектор Інші технології Windows/Linux Alibaba Cloud Centos налаштовує міжмережевий екран iptables
Вид: 13709|Відповідь: 0

[linux] Alibaba Cloud Centos налаштовує міжмережевий екран iptables

[Копіювати посилання]
Опубліковано 03.11.2014 15:41:54 | | |

Хоча Alibaba Cloud запустила сервіс Cloud Shield, завжди безпечніше додати ще один шар міжмережевого екрану; нижче наведено процес налаштування міжмережевого екрану на Alibaba Cloud VPS, наразі налаштовано лише INPUT. OUTPUT і FORWORD — це обидва правила для ACCEPT

1. Перевірте статус сервісу iptables

Почніть з перевірки статусу сервісу iptables

  1. [root@woxplife ~]# service iptables status
  2. iptables: Firewall is not running.
Копія коду

Сервіс iptables встановлено, але сервіс не запускається.
Якщо його немає, можна встановити безпосередньо

  1. yum install -y iptables
Копія коду

Почати iptables

  1. [root@woxplife ~]# service iptables start
  2. iptables: Applying firewall rules:                         [  OK  ]
Копія коду

Погляньте на поточну конфігурацію iptables

  1. [root@woxplife ~]# iptables -L -n
Копія коду
2. Очистіть стандартні правила міжмережевого екрану
  1. #首先在清除前要将policy INPUT改成ACCEPT,表示接受一切请求。
  2. #这个一定要先做,不然清空后可能会悲剧
  3. iptables -P INPUT ACCEPT

  5. #清空默认所有规则
  6. iptables -F

  8. #清空自定义的所有规则
  9. iptables -X

  11. #计数器置0
  12. iptables -Z
Копія коду
3. Правила конфігурації
  1. #允许来自于lo接口的数据包
  2. #如果没有此规则,你将不能通过127.0.0.1访问本地服务,例如ping 127.0.0.1
  3. iptables -A INPUT -i lo -j ACCEPT

  5. #ssh端口22
  6. iptables -A INPUT -p tcp --dport 22 -j ACCEPT

  8. #FTP端口21
  9. iptables -A INPUT -p tcp --dport 21 -j ACCEPT

  11. #web服务端口80
  12. iptables -A INPUT -p tcp --dport 80 -j ACCEP

  14. #tomcat
  15. iptables -A INPUT -p tcp --dport xxxx -j ACCEP

  17. #mysql
  18. iptables -A INPUT -p tcp --dport xxxx -j ACCEP

  20. #允许icmp包通过,也就是允许ping
  21. iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT

  23. #允许所有对外请求的返回包
  24. #本机对外请求相当于OUTPUT,对于返回数据包必须接收啊,这相当于INPUT了
  25. iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT

  27. #如果要添加内网ip信任(接受其所有TCP请求)
  28. iptables -A INPUT -p tcp -s 45.96.174.68 -j ACCEPT

  30. #过滤所有非以上规则的请求
  31. iptables -P INPUT DROP
Копія коду
4. Збереження

Спочатку iptables -L -n, щоб перевірити, чи конфігурація правильна.
Після відсутності проблем не поспішайте зберігатися, бо якщо не збережетеся, це дійсно лише наразі і не спрацює після перезавантаження, тож у разі проблеми можна змусити сервер перезапустити налаштування у фоновому режимі.
Відкрийте ще одне SSH-з'єднання, щоб упевнитися, що можете увійти.

Обов'язково збережи пізніше

  1. #保存
  2. [root@woxplife ~]# service iptables save

  4. #添加到自启动chkconfig
  5. [root@woxplife ~]# chkconfig iptables on
Копія коду







Попередній:DIY маджонг, ти це заслужив!
Наступний:Найпростіша конфігурація — це веб-сервер Linux, міжмережеві таблиці — це найпростіша конфігурація

Пов'язані дописи
Застереження:
Усе програмне забезпечення, програмні матеріали або статті, опубліковані Code Farmer Network, призначені лише для навчання та досліджень; Вищезазначений контент не повинен використовуватися в комерційних чи незаконних цілях, інакше користувачі несуть усі наслідки. Інформація на цьому сайті надходить з Інтернету, і спори щодо авторських прав не мають до цього сайту. Ви повинні повністю видалити вищезазначений контент зі свого комп'ютера протягом 24 годин після завантаження. Якщо вам подобається програма, будь ласка, підтримуйте справжнє програмне забезпечення, купуйте реєстрацію та отримайте кращі справжні послуги. Якщо є будь-яке порушення, будь ласка, зв'яжіться з нами електронною поштою.
Mail To:help@itsvse.com